Varför skulle jag behöva en RADIUS-server om mina klienter kan ansluta och autentisera med Active Directory? När behöver jag en RADIUS-server?
Svar
Varför skulle jag behöver en RADIUS-server om mina klienter kan ansluta och autentisera med Active Directory?
RADIUS är en äldre, enkel autentiseringsmekanism som utformades för att tillåta nätverksenheter ( tänk: routrar, VPN-koncentratorer, växlar som gör NAC (Network Access Control) för att autentisera användare. Den har inte någon form av komplexa medlemskrav; med tanke på nätverksanslutning och en delad hemlighet har enheten allt den behöver för att testa användarnas autentiseringsuppgifter.
Active Directory erbjuder ett par mer komplexa autentiseringsmekanismer , såsom LDAP, NTLM och Kerberos. Dessa kan ha mer komplexa krav – till exempel kan enheten som försöker autentisera användare själv behöva giltiga referenser för att kunna använda dem i Active Directory.
När behöver jag en RADIUS-server?
När du har en enhet att ställa in som vill göra enkel, enkel autentisering och den enheten inte redan är medlem i Active Directory-domänen:
- Nätverksåtkomstkontroll för dina trådbundna eller trådlösa nätverksklienter
- Webbproxy ”toasters” som kräver användarautentisering
- Routrar som dina nätverksadministratörer vill logga in utan att ställa in samma konto varje plats
I kommentarerna frågar @johnny:
Varför skulle någon rekommendera en RADIUS- och AD-kombination? Bara en tvåstegsverifiering för skiktad säkerhet?
A väldigt gemensamma kombinationsruta är tvåfaktorsautentika tion med engångslösenord (OTP) över RADIUS i kombination med AD. Något som RSA SecurID , till exempel, som främst behandlar förfrågningar via RADIUS. Och ja, de två faktorerna är utformade för att öka säkerheten (”Något du har + Något du vet”)
Det är också möjligt att installera RADIUS för Active Directory för att tillåta klienter (som routrar, switchar,. ..) för att autentisera AD-användare via RADIUS. Jag har inte installerat det sedan 2006 eller så, men det ser ut som att det nu är en del av Microsoft ”s Network Policy Server .
Kommentarer
- Varför skulle någon rekommendera en RADIUS- och AD-kombination? Bara tvåstegsautentisering för skiktad säkerhet?
- i vilket sammanhang? 802.1x?
- @Hollowproc Jag försökte förstå varandra i allmänhet. Men ja, trådlöst, om det ’ är vad du menar.
- @johnny Jag redigerade just svaret för att ta itu med din första kommentar … om du frågar om trådlösa klienter som autentiserar, är den mest troliga orsaken till RADIUS + AD den andra möjligheten jag nämnde – att tillåta relativt dumma nätverksutrustning att autentisera personer vars information lagras i AD. Så det ’ är en enfaktorsautentisering; RADIUS-autentiseringsmekanismen används bara för att utöka AD-konton till enheter som inte är Microsoft.
- @johnny, gowenfawr gör ett bra jobb med att ta itu med din kommentar, hans svar är ärligt talat mer komplett än mitt
Svar
Alla kommentarer och svar kokade ner RADIUS-protokollet till enkel autentisering . Men RADIUS är ett trippel A-protokoll = AAA: autentisering , auktorisering och redovisning .
RADIUS är en mycket utdragbar protokoll. Det fungerar med viktiga värdepar och du kan definiera nya på egen hand. Vanligaste scenariot är att RADIUS-servern returnerar auktoriseringsinformation i ACCESS-ACCEPT-svaret. Så att NAS kan veta vad användaren får göra. Naturligtvis kan du göra detta genom att fråga LDAP-grupper. Du kan också göra detta med SELECT-satser om dina användare befinner sig i en databas 😉
Detta beskrivs i RFC2865 .
Som tredje del gör RADIUS-protokollet också redovisning . Dvs RADIUS-klienten kan kommunicera med RADIUS-servern för att avgöra hur länge en användare får använda tjänsten som tillhandahålls av RADIUS-klienten. Detta finns redan i protokollet och kan inte göras med LDAP / Kerberos enkelt. (Beskrivs i RFC2866 ).
Imho, RADIUS-protokollet är mycket mer av en mäktig jätte än vi tror idag. Ja, på grund av det ledsna konceptet för den delade hemligheten.Men vänta, det ursprungliga kerberos-protokollet har konceptet att signera tidsstämpel med en symmetrisk nyckel härledd från ditt lösenord. Låter inte bättre 😉
Så när behöver du RADIUS?
När du inte vill avslöja din LDAP! Närhelst du behöver standardiserad auktoriseringsinformation. Närhelst du behöver sessionsinformation som @Hollowproc nämns.
Vanligtvis behöver du RADIUS när du hanterar brandväggar, VPN, fjärråtkomst och nätverkskomponenter.
Svar
Jag tror att alla ovanstående svar inte tar itu med kärnan i din fråga, så jag lägger till mer. De andra svaren passar mer i linje med InfoSec-aspekten av RADIUS, men Jag ska ge dig SysAdmin nedgång. (Sidanot: denna fråga borde troligen ha ställts i ServerFault.)
Vad är skillnaden mellan en RADIUS-server och Active Directory?
Active Directory är först och främst en identitetshantering . Identitetshantering är ett snyggt sätt att säga att du har ett centralförvar där du lagrar ” identiteter ”, till exempel användarkonton. I termer av lekmän är det en lista över personer (eller datorer) som får ansluta till resurser i ditt nätverk. Det betyder att istället för att ha ett användarkonto på en dator och ett användarkonto på en annan dator, har du ett användarkonto i AD som kan användas på båda datorerna. Active Directory är i praktiken mycket mer komplicerat än detta, att spåra / auktorisera / säkra användare, enheter, tjänster, applikationer, policyer, inställningar osv.
RADIUS är en protokoll för att skicka autentiseringsförfrågningar till ett identitetshanteringssystem. I lekmanns ord är det en uppsättning regler som styr kommunikationen mellan en enhet (RADIUS-klient) och en användardatabas (RADIUS-server). Detta är användbart eftersom det är robust och generaliserat, vilket gör att många olika enheter kan kommunicera autentisering med helt orelaterade identitetshanteringssystem som de vanligtvis inte skulle fungera med.
En RADIUS-server är en server eller enhet eller enhet som tar emot autentiseringsförfrågningar från RADIUS-klienten och sedan skickar dessa autentiseringsförfrågningar vidare till ditt identitetshanteringssystem. Det är en översättare som hjälper dina enheter att kommunicera med ditt identitetshanteringssystem när de inte talar samma språk.
Varför skulle jag behöva en RADIUS server om mina klienter kan ansluta och autentisera med Active Directory?
Du behöver inte. Om AD är din identitetsleverantör och om dina klienter kan ansluta sig till och autentisera med AD, behöver du inte RADIUS. Ett exempel kan vara att ha en Windows-dator ansluten till din AD-domän och en AD-användare loggar in på den. Active Directory kan autentisera både datorn och användaren ensam utan någon hjälp.
När behöver jag en RADIUS-server?
- När dina klienter inte kan ansluta till och autentisera med Active Directory.
Många nätverksenheter av företagskvalitet gör inte gränssnitt direkt med Active Directory. Det vanligaste exemplet som slutanvändare kanske märker är att ansluta till WiFi. De flesta trådlösa routrar, WLAN-kontroller och åtkomstpunkter stöder inte autentisering av inloggning mot Active Directory. Så istället för att logga in på det trådlösa nätverket med ditt AD-användarnamn och lösenord loggar du in med ett distinkt WiFi-lösenord istället. Det här är OK, men inte bra. Alla i ditt företag känner till WiFi-lösenordet och delar förmodligen det med sina vänner (och vissa mobila enheter kommer att dela det med sina vänner utan att fråga dig).
RADIUS löser problemet genom att skapa ett sätt för dina WAPs eller WLAN-kontroller för att ta användarnamn och lösenordsuppgifter från en användare och skicka dem till Active Directory för att bli autentiserade. Detta innebär att du istället för att ha ett generellt WiFi-lösenord som alla i ditt företag känner till kan logga in på WiFi med ett AD-användarnamn och lösenord. Det här är coolt eftersom det centraliserar din identitetshantering och ger säkrare åtkomstkontroll till ditt nätverk.
Centraliserad identitetshantering är en nyckelprincip i informationsteknik. och det förbättrar dramatiskt säkerheten och hanterbarheten i ett komplext nätverk. En centraliserad identitetsleverantör låter dig hantera auktoriserade användare och enheter över ditt nätverk från en enda plats.
Åtkomstkontroll är en annan nyckelprincip som är mycket nära relaterad till identitetshantering eftersom den begränsar tillgången till känsliga resurser till endast de eller enheter som har behörighet att komma åt dessa resurser.
- När Active Directory inte är din identitetsleverantör.
Många företag använder nu online ” moln ” identitetsleverantörer, till exempel Office 365, Centrify, G-Suite, etc. Det finns också olika * nix-identitetsleverantörer och, om du är old-school, finns det till och med fortfarande Mac-servrar flyter runt med sin egen katalog för identitetshantering Molnidentitet blir allt vanligare och, om Microsofts färdplaner ska tros, så småningom helt ersätter Active Directory lokalt. Eftersom RADIUS är ett generiskt protokoll fungerar det lika bra om dina identiteter lagras i AD, Red Hat Directory Server eller Jump Cloud.
Sammanfattningsvis
Du vill använda en centraliserad identitetsleverantör för att kontrollera åtkomst till nätverksresurser. Vissa av enheterna i ditt nätverk stöder kanske inte den identitetsleverantör du använder. Utan RADIUS kan du tvingas använda ” lokal ” referenser på dessa enheter, vilket decentraliserar din identitet och minskar säkerheten. RADIUS låter dessa enheter (vad de än är) ansluta till din identitetsleverantör (vad det än är) så att du kan behålla centraliserad identitetshantering.
RADIUS är också mycket mer komplex och flexibel än detta exempel, som det andra svar som redan förklarats.
Ytterligare en anteckning. RADIUS är inte längre en separat och unik del av Windows Server och det har inte varit det i flera år. Stöd för RADIUS-protokollet är inbyggt i NPS-servern (Network Policy Server) i Windows Server. NPS används som standard för att autentisera Windows VPN-klienter mot AD, även om det tekniskt inte använder RADIUS för att göra det. NPS kan också användas för att konfigurera specifika åtkomstkrav, till exempel hälsopolicyer, och kan begränsa nätverksåtkomst för klienter som inte uppfyller de standarder du ställer in ( aka NAP, Network Access Protection).
Kommentarer
- Så om alla moderna trådlösa enheter och nätverksenheter till exempel börjar stödja AD, skulle vi behöver du inte RADIUS i miljön alls?
- @security_obscurity – AD är bara ett exempel på en identitetsleverantör. Det ’ är förmodligen det vanligaste men det är inte ’ t det enda. En av fördelarna med RADIUS är att protokollet är generiskt och agnostiskt – det bryr sig inte ’ vad din identitetsleverantör är så länge den talar samma språk. Jag tror att jag måste uppdatera mitt svar för att göra det tydligare.
Svar
RADIUS-servrar har traditionellt varit alternativet med öppen källkod för plattformar som använder autentisering per användare (tänk på trådlöst nätverk som behöver användarnamn och lösenord ) vs PreShared Key (PSK) -arkitekturer.
Under de senaste åren har många RADIUS-baserade system nu möjlighet att utnyttja Active Directory med grundläggande LDAP-kontakter. Återigen är de traditionella implementeringarna av RADIUS nätverksåtkomstrelaterade kontra Active Directory som kan ha ett stort antal användningsområden / implementeringar.
För att svara på din fråga, även om du kan ansluta till AD-krediter, kan du fortfarande behöva använda RADIUS-servern för att hantera sessionen för den trådlösa klienten när de har autentiserats via AD .
Kommentarer
- Varför behöver jag det för att hantera sessionen? Är det som en dålig mans VPN?
- Nej, men RADIUS har en uppfattning om sessionstidsavbrott där en användare kommer att kopplas bort efter en viss tidsperiod.
- Vad har RADIUS att göra med öppen källkod? RADIUS är bara ett standardiserat protokoll! -) RADIUS-servrar är inte i sig öppen källkod … … tyvärr.
- @cornelinux rättvis poäng med tanke på att det är bara ett protokoll, men för det andra del … freeradius.org/related/opensource.html
- Detta är en lista över RADIUS-servrar med öppen källkod. De flesta av dem gör finns inte längre (eftersom FreeRADIUS är så framgångsrik). Men du kan också sammanställa en lista med RADIUS-servrar med sluten källa som innehåller radiator och NPS.